OT Security テクノロジー
OT Security の包括的なソリューションは、2 つの主要な収集テクノロジーで構成されています。
-
ネットワーク検出 — OT Security ネットワーク検出テクノロジーは、産業用制御システムに固有の特性と要件に対応するように設計されたパッシブディープパケット検査エンジンです。ネットワーク検出は、エンジニアリングアクティビティに独自の焦点を合わせて、運用ネットワークで実行されたすべてのアクティビティを詳細かつリアルタイムで可視化します。これには、ファームウェアのダウンロード / アップロード、コードの更新、ベンダー独自の通信プロトコルで実行される設定変更が含まれます。ネットワーク検出は、疑わしいまたは認証されていないアクティビティをリアルタイムで警告し、証拠となるデータを含む包括的なイベントログを生成します。ネットワーク検出は、3 種類のアラートを生成します。
-
ポリシーベース — 事前定義されたポリシーをアクティブ化するか、カスタムポリシーを作成してサイバー脅威または操作上のミスを示す特定の詳細なアクティビティを許可リストまたはブロックリストに追加し、アラートをトリガーできます。事前定義された状況が発生していないか調べるアクティブクエリチェックをトリガーするようにポリシーを設定することもできます。
-
動作異常 — システムは、ネットワークトラフィックベースラインからの逸脱を検出します。このベースラインは、指定された時間範囲のトラフィックパターンに基づいて確立されます。また、マルウェアや偵察の挙動を示す疑わしいスキャンも検出します。
-
署名検出ポリシー — これらのポリシーは、署名ベースの OT/IT 脅威検出を使用して、侵入の脅威を示すネットワークトラフィックを識別します。検出は、Suricata の脅威エンジンでカタログ化されたルールに基づいています。
-
-
アクティブクエリ — OT Security の特許取得済みクエリテクノロジーは、ICS ネットワーク内にある制御デバイスのメタデータを定期的に調査することで、ネットワーク上のデバイスを監視します。この機能は、PLC や RTU などの低レベルのデバイスを含むすべての ICS 資産を、それらの資産がネットワークでアクティブでないときでも、自動的に検出して分類する OT Security の能力を強化します。また、デバイスのメタデータ (ファームウェアバージョン、設定の詳細、状態など) にローカルで実装された変更や、デバイスロジックの各コード / 機能ブロックの変更も識別されます。ネイティブコントローラー通信プロトコルで読み取り専用クエリを使用するため、安全であり、デバイスに影響を与えません。クエリは、事前定義されたスケジュールに基づいて定期的に実行することも、ユーザーがオンデマンドで実行することもできます。